Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Atribut kunci untuk CloudHSM CLI
Topik ini menjelaskan cara menggunakan CloudHSM CLI untuk menetapkan atribut kunci. Atribut kunci di CloudHSM CLI dapat menentukan jenis kunci, bagaimana kunci dapat berfungsi, atau bagaimana kunci diberi label. Beberapa atribut mendefinisikan karakteristik unik (tipe kunci, misalnya). Atribut lainnya dapat diatur ke true atau false—mengubahnya mengaktifkan atau menonaktifkan bagian dari fungsionalitas kunci.
Untuk contoh yang menunjukkan cara menggunakan atribut kunci, lihat perintah yang tercantum di bawah perintah indukkunci.
Atribut yang didukung
Sebagai praktik terbaik, tetapkan hanya nilai untuk atribut yang ingin Anda buat ketat. Jika Anda tidak menentukan nilai, CloudHSM CLI menggunakan nilai default yang ditentukan dalam tabel di bawah ini.
Tabel berikut mencantumkan atribut kunci, nilai yang mungkin, default, dan catatan terkait. Sel kosong di kolom Nilai menunjukkan bahwa tidak ada nilai default tertentu yang ditetapkan ke atribut.
Atribut CloudHSM CLI | Nilai | Dimodifikasi dengan kunci set-atribut | Dapat diatur pada pembuatan kunci |
---|---|---|---|
always-sensitive |
Nilainya adalah |
Tidak | Tidak |
check-value |
Nilai cek kunci. Untuk informasi lebih lanjut, lihat Detail tambahan. | Tidak | Tidak |
class |
Nilai yang mungkin: |
Tidak | Ya |
curve |
Kurva elips digunakan untuk menghasilkan pasangan kunci EC. Nilai yang Valid: |
Tidak | Dapat diatur dengan RSA, tidak dapat diatur dengan EC |
decrypt |
Default: |
Ya | Ya |
derive |
Default: |
Ya | Ya |
destroyable |
Default: |
Ya | Ya |
ec-point |
Untuk kunci EC, DER-encoding ANSI X9.62 nilai ECpoint “Q” dalam format heksadesimal. Untuk jenis kunci lainnya, atribut ini tidak ada. |
Tidak | Tidak |
encrypt |
Default: |
Ya | Ya |
extractable |
Default: |
Tidak | Ya |
id |
Default: Kosong | Tidak | Ya |
key-length-bytes |
Diperlukan untuk menghasilkan kunci AES. Nilai yang valid: |
Tidak | Tidak |
key-type |
Nilai yang mungkin: |
Tidak | Ya |
label |
Default: Kosong | Ya | Ya |
local |
Default: |
Tidak | Tidak |
modifiable |
Default: |
Tidak | Tidak |
modulus |
Modulus yang digunakan untuk menghasilkan pasangan kunci RSA Untuk jenis kunci lainnya, atribut ini tidak ada. | Tidak | Tidak |
modulus-size-bits |
Diperlukan untuk menghasilkan pasangan kunci RSA. Nilai minimum adalah |
Tidak | Dapat diatur dengan RSA, tidak dapat diatur dengan EC |
never-extractable |
Nilai adalah Nilainya adalah |
Tidak | Tidak |
private |
Default: |
Tidak | Ya |
public-exponent |
Diperlukan untuk menghasilkan pasangan kunci RSA. Nilai yang valid: Nilai harus berupa angka ganjil yang lebih besar dari atau sama dengan. |
Tidak | Dapat diatur dengan RSA, tidak dapat diatur dengan EC |
sensitive |
Default:
|
Tidak | Dapat diatur dengan kunci pribadi, tidak dapat diatur dengan kunci publik. |
sign |
Default:
|
Ya | Ya |
token |
Default: |
Tidak | Ya |
trusted |
Default: |
Ya | Tidak |
unwrap |
Default: False |
Ya | Ya |
unwrap-template |
Nilai harus menggunakan templat atribut yang diterapkan untuk setiap kunci terbuka menggunakan kunci pembungkus ini. | Ya | Tidak |
verify |
Default:
|
Ya | Ya |
wrap |
Default: False |
Ya | Ya |
wrap-template |
Nilai harus menggunakan template atribut untuk mencocokkan kunci yang dibungkus menggunakan kunci pembungkus ini. | Ya | Tidak |
wrap-with-trusted |
Default: |
Ya | Ya |
Detail Tambahan
- Periksa nilai
-
Nilai cek adalah hash 3-byte atau checksum dari kunci yang dihasilkan ketika HSM mengimpor atau menghasilkan kunci. Anda juga dapat menghitung nilai cek di luar HSM, seperti setelah Anda mengekspor kunci. Anda kemudian dapat membandingkan nilai nilai cek untuk mengkonfirmasi identitas dan integritas kunci. Untuk mendapatkan nilai cek kunci, gunakan daftar kunci dengan bendera verbose.
AWS CloudHSMmenggunakan metode standar berikut untuk menghasilkan nilai cek:
-
Kunci simetris: 3 byte pertama hasil enkripsi blok nol dengan kunci.
-
Pasangan kunci asimetris: 3 byte pertama dari hash SHA-1 dari kunci publik.
-
Kunci HMAC: KCV untuk kunci HMAC tidak didukung saat ini.
-